Dijital çağda iletişim seçeneklerinin genişlemesi yeni
riskleri de beraberinde getiriyor. Dijital çağla iletişim kurarken, kötü amaçlı
yazılımların ve bilgisayar korsanlarının her an iletişim güvenliğini tehlikeye
atabileceği göz ardı edilmemelidir. Ortadaki
Adam (MitM), internetin ve şirketlerin kişisel kullanımı için tetikte
olması gereken bir tür siber saldırıdır. MitM tam olarak nedir ve nasıl
olabilir ve bunu önlemek için ne yapabiliriz?
MitM Ortadaki Adam Saldırısı
MitM (Ortadaki Adam
Saldırısı (MITM saldırısı)), bir siber suçlunun "doğrudan iletişim
kurduklarını düşünen" iki taraf arasındaki konuşmayı değiştirebileceği ve
hatta değiştirebileceği bir siber saldırı türüdür. Saldırgan, iletişimi başka
bir tarafa gönderebilir veya dinleyebilir ve muhtemelen bir kişinin
söylediklerini değiştirebilir. Ortadaki adam saldırıları, istemciler, insanlar
ve sunucular arasında gizlice dinlemeye izin verir. Buna sitelere HTTPS
bağlantısı, ek SSL/TLS bağlantısı, ağlara Wi-Fi bağlantısı ve daha pek çok şey
dahildir.
MitM Saldırı Örneği
Sizin ve bir iş arkadaşınızın şifreli bir mesajlaşma
platformu aracılığıyla iletişim kurduğunu hayal edin. Saldırgan, dinlemek ve
sizden meslektaşınıza sahte bir mesaj iletmek için konuşmayı kesmek istiyor.
Aşağıdaki adımlara uyabilirsiniz:
·
Başlangıçta, arkadaşınızın ortak anahtarını
isteyeceksiniz. Açık anahtarını istediğiniz kişi ve onu çalmaya çalışan bir
kişi, anahtarı, ortadaki adam saldırısı başlayabilir.
·
Bir hırsız size bir iş arkadaşınızdan geliyormuş
gibi görünen sahte bir e-posta gönderir, ancak bunun yerine saldırganın ortak
anahtarını içerir.
·
Anahtarın iş arkadaşınıza ait olduğunu ve
saldırganın anahtarını kullanarak mesajı şifreleyebildiğinizi ve ardından
şifreli mesajı size "iş arkadaşınıza" (aslında saldırgana) gönderebildiğinizi
varsayalım.
·
Saldırgan, mesajları yeniden yakalar, kendi özel
anahtarıyla şifresini çözer, değiştirir ve daha sonra mesajı size ulaştırmaya
çalışan kişiden elde ettiğiniz açık anahtarla mesajı yeniden şifreler.
·
İş arkadaşınız da şifreli mesajlarınıza
bakıyorsa, kişi mesajın sizden geldiğine inanır.
·
İş arkadaşınıza bir davetsiz misafir tarafından
yakalanan bir e-posta gönderdiniz.
·
"Merhaba [meslektaşım], lütfen bana
anahtarınızı gönderir misiniz?"
·
Saldırgan daha sonra mesajı iş arkadaşınıza
iletir ve ortadaki bir erkek olduğunuzu bilmiyorlar.
·
Sen [SaldırganYou "Merhaba, bana
anahtarınızı gönderir misiniz?"
·
İş arkadaşı, anahtarı şifreleyerek yanıt verir.
·
Saldırgan, iş arkadaşınızın anahtarını kendi
anahtarıyla değiştirir ve bu mesajı iş arkadaşınızın anahtarıymış gibi doğrudan
size gönderir.
·
Meslektaşınızın anahtarı olduğunu düşündüğünüz
şeyi kullanarak bir mesajı şifreleyebilir ve yalnızca sizin okuyabileceğinize
inanabilirsiniz.
·
"Şifremiz XYZ" diyor (saldırganın
anahtarıyla şifrelenir[saldırganın anahtarıyla şifrelenir]
Mesaj, saldırganın anahtarı kullanılarak şifrelendiğinden,
saldırganlar şifresini çözer, sonra mesajı okur ve değiştirir, ardından
anahtarı kullanarak yeniden şifreler ve sonra mesajı başka bir kişiye iletin.
Bu durumda hem siz hem de arkadaşınız bu mesajın güvenli
olduğuna inanarak iletişim kurmaya devam ediyor. Ama gerçekte içinizde başka
bir tehdit var: Diğer Taraftaki adam! "Adam" ortadaki" kötü
niyetlidir ve özel olması gereken bilgilere erişebilir. Örneğin, başka bir
neden tarafından motive edilirse, sizinle aranızdaki bilgi alışverişini
manipüle etmek mümkündür.
Bu senaryo, tarafların saldırganın özel anahtarı yerine
diğerinin genel anahtarlarını paylaşmasına izin veren sistemin önemini
göstermektedir. Güçlü güvenlik uygulamaları yeterli değildir, MitM (ortadaki
adam) saldırısının potansiyeli konusunda uyanık olmalısınız.
MitM Saldırıları Tehlikeli mi?
Ortadaki adam saldırıları ölümcül olabilir ve genellikle
istenmeyen bir amaca hizmet eder. Saldırının arkasındaki sebeplerden biri veya
her ikisi olabilir:
·
Hassas bilgilere ve kişisel verilere erişme
·
Mesajın içerik mesajını işleme
Offensive MitM saldırısı olarak bilinen bir saldırı yoluyla,
şunlara erişim elde etmeyi amaçlar:
·
Kimlik hırsızlığını önlemek için kişisel olarak
tanımlanabilir veriler (PII) ve diğer hassas bilgiler
·
Oturum açma kimlik bilgileri, çevrimiçi banka
hesaplarına yetkisiz erişim sağlamak için bir Wi-Fi ağına bağlanmak için
kullanılır Bir çevrimiçi mağazadaki İnternet trafiğinden kredi kartı
numaralarını çaldırabilirsiniz.
·
Yasal web sitelerinden kötü amaçlı yazılım
barındıran web sitelerine yeniden yönlendirme yapan ortak alanlardaki Wi-Fi
noktaları.
MITM saldırılarının ortak hedefleri arasında web siteleri ve
e-postalar bulunur. E-postalar kendi başlarına şifreleme kullanmazlar; bu, bir
saldırganın oturum açma kimlik bilgilerini kullanarak gönderenden gelen e-posta
iletilerine sızmasına ve yanıltmasına izin verir.
MitM ve Sniffing Arasındaki Farklar
İnternet protokollerinin doğası gereği, İnternet
aracılığıyla gönderilen verilerin çoğuna halk tarafından erişilebilir. Bir
bölge ağına (LAN) bağlıysanız ve başka herhangi bir bilgisayar gönderdiğiniz
verileri görüntüleyebilir. Bir saldırgan sizinle aynı ağa bağlıysa, verileri
okumak için bir dinleyici kullanabilir ve ayrıca sunucunuz ve istemcinize
(sunucunuz dahil) bağlanan herhangi bir bilgisayara erişebiliyorsa
iletişimlerinizi dinlemelerine izin verebilir.
Ortadaki bir adam saldırısında, saldırgan sizi veya
bilgisayarı onlarla bağlantı kurmak için kandırmaya çalışır. Bağlanmak
istediğiniz yerin onlar olduğuna inanmanızı sağlar. Sonra asıl kaynağa
bağlanırlar ve sonra sizmişsiniz gibi davranırlar ve istedikleri zaman bilgiyi
her iki şekilde aktarır ve değiştirirler. Bu, bilgiler değiştirilebildiğinden
daha büyük bir güvenlik riski oluşturur.
Güvenlik, varsayılan koklama olarak şifrelemeye geçtikçe,
MitM (ortadaki adam) saldırısının yanı sıra gözetleme daha tehlikeli hale
geliyor. Saldırganlar, kriptografik protokollerdeki güvenlik açıklarından
yararlanmak için çeşitli teknikler kullanabilir. Bunları kullanıcıları aldatmak
veya aralarında biri olmak için kullanabilirler. Güvenli bir bağlantı,
aranızdaki bir kişinin iletişiminize müdahale etmesini engellemek için yeterli
değildir.
MitM Saldırıları Nerede Olur?
Ortadaki adam saldırılarının birçok türü vardır. Bununla
birlikte, genel olarak konuşursak, dört yöntemde ortaya çıkarlar:
·
Genel ağlar: Genel bir ağa bağlandığınızda
gerçekten risk altındasınız. Bir örnek, kafelerde, havaalanlarında ve erişim
kısıtlaması olmayan herhangi bir ağda halka açık Wi-Fi ağlarıdır. MitM
yöntemlerinin çoğu en iyi Wi-Fi ve yerel alan ağlarında çalıştığından, saldırganların
ortadaki adam haline gelmesi kolaydır.
·
Bilgisayarınız: MitM saldırısı, internet
bağlantınızı kurcalayan ve sizi İnternet bağlantınızın hızını izleyen ve
değiştiren web sitelerine yönlendiren kötü amaçlı yazılımlar kullanılarak
gerçekleştirilebilir.
·
Yönlendirici "Yönlendirici" terimi,
yönlendiricilerin (yönlendiricilerin) tipik olarak İnternet servis
sağlayıcınızdan sağlandığı gerçeğini ifade eder. Ayrıca güvenlik için
varsayılan ayarlarla birlikte gelirler. Bu, birçok yönlendiricinin standart
oturum açma parolalarıyla (yönetici/parola gibi) veya güvenlik açığına açık
olabilecek daha eski bellenimle geldiği anlamına gelir.
·
Web Sunucusu: Bir saldırgan, bağlanmaya
çalıştığınız web sunucusuna erişir ve ardından bir MitM saldırısı
gerçekleştirir.
MitM (Ortadaki Adam) Saldırısı Nasıl Yapılır?
MitM Ortadaki Adam saldırısı 3 aşamada sınıflandırılabilir
·
İlk Aşama: Saldırıyı gerçekleştirebileceğiniz
konuma erişmektir.
·
İkinci Aşama: Ortadaki adama geçin.
·
Üçüncü Aşama: Gerekirse şifrelemeyi çözün.
Saldırgan, sizinle hedeflenen kurban arasına girdiğinde
"ortadaki adam" haline geldi. Bunun başarılı olabilmesi için bir veya
daha fazla farklı spoofing/aldatma/spoofing saldırı tekniği ile bilgisayarınızı
kandırmaya çalışacaktır.
MitM Saldırılarında Kullanılan Bazı Teknikler
·
ARP Spoofing: ARP (veya Adres Çözümleme
Protokolü), bir cihazın fiziksel konumunu (MAC adresi veya Medya Erişim Kontrol
Adresi) ve ağın yerel alanı içinde kendisine atanan IP adresini dönüştürür. ARP
sahtekarlığını kullanmak, saldırganların bağlantılarını cihazlarına
yönlendirmek için yerel alan ağlarına sahte ayrıntılar vermelerinin bir
yoludur.
·
IP Spoofing: IP Spoofing, bir bilgisayarın
genellikle farklı bir makineyle aynı olan farklı bir IP adresi kullanıyormuş
gibi yaptığı durumlarda meydana gelir. Tek başına bir saldırı olarak IP
sahtekarlığı, ortadaki adama yapılan bir saldırı değildir. Ancak, TCP dizi
tahmini ile birlikte eşleştirildiğinde, bir saldırıdır. Genel olarak, İnternet
bağlantıları TCP/IP protokolü (İletim Kontrol Protokolü veya İnternet
Protokolü) kullanılarak kurulur.
·
DNS Spoofing: ARP Spoofing ve IP sızdırma,
saldırganın sizinle aynı ağa sahip olmasına bağlıdır. DNS Spoofing söz konusu
olduğunda, herhangi bir yerden bir saldırı gelebilir. DNS sahtekarlığı, zayıf
bir DNS önbelleğine dayandığından daha zorlayıcı olabilir. Ancak, DNS
sahtekarlığı başarılı olduğunda birçok kişiyi etkileyebilir.
·
SSL Sahtekarlığı: Web tarayıcısı, saldırgan,
bağlanmaya çalıştığınız etki alanıyla aynı olan bir web sitesi oluşturduğunda
oluşan bir tür yazım hatası yapar. Daha sonra size yanlış URL'yi verirler ve
Kimlik Avı gibi farklı yöntemler kullanırlar. Örnek: facebook.com
·
E-posta Korsanlığı: bir saldırganın bir e-posta
hesabını ele geçirebildiği ve e-posta konuşmalarını "dinleyerek" veri
topladığı zamandır. E-postayı hacklemek, bir e-posta hesabının kontrolünü ele
geçirmek için tipik bir yöntemdir ve genellikle Phishing'i hedef almak için
kullanılır.
MitM Saldırılarına Karşı Güvenlik Çözümleri
MitM - Sayısız türde ortadaki adam saldırısı var ve
bazılarını tespit etmek zor. Ortadaki adam saldırılarını durdurmanın en etkili
yolu onlardan uzak durmaktır. Bir saldırganın sisteminize erişmesi durumunda bağlantınızı
çalmasını durdurmak zor olsa da, verilerinizin tamamen güvende olmasını
sağlamanın bir yolu vardır.
·
Sanal Özel Ağ (VPN): VPN'ler internet
trafiğinizi güvence altına alır ve böylece bir saldırganın iletişimleri
değiştirme veya okuma yeteneğini sınırlar.
·
Ağ İzinsiz Giriş Tespit Sistemi (NIDS): NIDS,
ağdaki her cihaz arasındaki veri akışını gözlemlemek için bir ağdaki stratejik
konumlara kurulur. Alt ağdan geçen trafiğin bir analizini yapar ve trafiği alt
ağlar aracılığıyla bilinen güvenlik tehditleri veritabanına eşler. Bir saldırı
tespit edildiğinde veya anormal bir davranış tespit edildiğinde bir uyarı
gönderilir.
·
Güvenlik Duvarı: Sağlam bir güvenlik duvarı
yetkisiz erişimi durdurabilir.
·
İki Faktörlü Kimlik Doğrulama: E-posta
hesaplarınızın saldırıya uğramasını önlemenin harika bir yöntemi, iki faktörlü
kimlik doğrulamayı kullanmaktır. Parolanın ötesinde ekstra bir kimlik doğrulama
kanalına ihtiyaç duyar.